[发明专利]一种基于消息验证技术的三方增强认证系统设计方法

说明书

本发明涉及一种基于消息验证技术的三方增强认证系统设计方法，涉及身份认证技术领域。本发明设计一种基于消息码验证的三方强认证系统，在缺乏应用密码机的保护的情况下，对传统身份认证系统进行加固，解决了认证过程中未对第三方应用的身份进行验证问题，实现人员、应用、认证服务器三方强身份认证。

技术领域

本发明涉及身份认证技术领域，具体涉及及一种基于消息验证技术的三方增强认证系统设计方法。

背景技术

身份认证系统主要为应用软件、入网鉴权等信息化装备提供身份认证功能。传统的身份认证系统组成包括终端认证设备、终端代理软件和身份认证服务器。其工作流程分为五个步骤：(1)用户通过认证代理和终端认证设备(如USBKey形态)与身份认证服务器建立安全连接，如SSL通道；(2)终端认证代理软件将个人数字证书信息连同其他协议数据发送至身份认证服务器进行验证，完成终端认证代理(含认证设备)与身份认证系统之间的双向认证，验证通过后，身份认证服务器为该用户生成一个身份断言；(3)用户访问应用或连接入网时，第三方应用客户端或网络接入客户端通过认证代理，携带身份断言，向身份认证服务器获取认证票据，身份认证服务器对断言进行验证，验证通过后为其生成一个一次性使用的票据；(4)应用客户端或网络接入客户端携带票据至各自服务器端，应用服务器或网络接入服务器获取票据后，向身份认证服务器进行验证；(5)身份认证服务器对票据进行验证，验证成功后返回用户真实身份信息，验证票据失效。

上述处理方式有如下不足：认证过程中未对应用身份进行验证，认证过程存在安全隐患，无法抵御中间人劫持攻击。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何解决认证过程中未对第三方应用的身份进行验证问题，实现人员、应用、认证服务器三方强身份认证。

(二)技术方案

为了解决上述技术问题，本发明提供了一种基于消息验证技术的三方增强认证系统设计方法，该方法中，将所述系统设计为包括终端认证代理、终端认证设备、身份认证服务器；

所述终端认证代理部署在用户终端和应用服务器上，部署在用户终端时，设计为用于提供身份认证的客户端代理功能；部署在应用服务器上时，设计为用于支持对应用身份认证和票据认证，终端认证代理包括认证代理服务模块、内核驱动模块、认证接口库；

所述认证代理服务模块作为应用侧认证代理服务，通过对外提供的接口，接收外部认证请求，向身份认证服务器发送认证数据，完成认证功能，认证服务代理模块具有对应用通信的加解密、调用身份认证服务器验证应用身份这些功能逻辑，实现终端认证代理与第三方应用之间的双向认证；

内核驱动模块，实现终端认证设备管理，对上接收认证服务调用的随机数生成、加解密、签名验签这些密码算法请求，对下调用终端认证设备，完成算法运算，返回结果；

认证接口库，作为第三方应用和终端桌面应用调用的公用接口，集成和兼容终端认证设备接口和应用身份认证接口；

所述身份认证服务器设计为具有第三方管理、秘钥对及共享消息秘钥生成功能，以及认证服务功能；

所述第三方管理功能是在对外提供认证前服务前，通过第三方应用管理，将应用信息添加到身份认证服务器中，在认证过程中对第三方应用身份进行确认，防止恶意冒用或中间劫持；

所述秘钥对及共享消息秘钥生成功能是为第三方应用生成共享消息秘钥msgKey以及两对公私钥对cPriKey/cPubKey、aPriKey/aPubKey，其中共享消息秘钥msgKey用于应用身份的验证；cPriKey/cPubKey、aPriKey/aPubKey分别用于与终端认证代理、身份认证服务器进行加密通信；

所述认证服务功能包括两方面，一方面是策略管理，另一方面是认证管理：